[发明专利]业务承载的方法及路由器

说明书

技术领域

本发明实施例涉及通信领域，尤其涉及一种业务承载的方法及路由器。

背景技术

基于二层协议的虚拟专用网络（Layer 2 Virtual Private Networks，简称L2VPN）和基于三层协议的虚拟专用网络（Layer 3 Virtual Private Networks，简称L3VPN）均为较常用的虚拟专用网络（Virtue Private Network，简称VPN）技术，通过在公网建立合适的隧道使用户能够跨地域建立私有网络。上述L2VPN和L3VPN技术最主要的不同点是：L2VPN技术保留用户报文的二层报文头，而L3VPN技术剥离用户报文的链路层报文头，只保留用户报文的IP头。

互联网安全协议（Internet Protocol Security，以下简称IPSec）是Internet工程任务组（Internet Engineering Task Force，简称IETF）制定的一个开放的IP层安全框架协议，属于三层隧道协议，用于提供公用网络和专用网络的端对端加密和验证服务。

IPSec通过Internet密钥交换协议（Internet Key Exchange Protocol，简称IKE协议）协商加解密报文使用到的安全联盟（Security Association，简称SA），该处的SA包括：加解密报文使用到的密钥，加解密算法，需要保护的数据流等信息。IPSec对报文的封装分为AH和ESP两种方式，对报文的转换分为隧道模式和传输模式。

具体地，IPSec隧道承载L3VPN业务时，IPSec隧道的起止点（IPSec隧道的第一个路由器和最后一个路由器）一般在运营商网络的边界路由器上（Provider Edge设备，简称PE设备）。

当前，不存在任何IPSec隧道直接承载L2VPN报文的解决方案。即，现有IPSec协议无法提供对L2VPN报文的加解密。

发明内容

有鉴于此，本发明实施例提供一种业务承载的方法及路由器，用以解决现有技术中IPSec隧道无法承载L2VPN业务的问题。

一方面，本发明实施例提供一种业务承载的方法，包括：

在IPSec隧道协商的第二阶段，第一路由器向第二路由器发送第一ISAKMP报文，所述第一ISAKMP报文携带所述第一路由器具有通过所述IPSec隧道承载L2VPN业务的能力的标识；

接收所述第二路由器根据所述第一ISAKMP报文返回的响应报文，若所述响应报文中携带有所述第二路由器具有通过所述IPSec隧道承载L2VPN业务的能力的标识，则所述第一路由器通过所述IPSec隧道承载L2VPN业务。

结合第一方面，在第一种可能的实现方式中，若所述响应报文中携带有所述第二路由器具有通过所述IPSec隧道承载L2VPN业务的能力的标识，则上述业务承载的方法还包括：所述第一路由器通过所述IPSec隧道承载基于三层协议的虚拟专用网络L3VPN业务。

结合第一方面及上述可能的实现方式中，在第二种可能的实现方式中，所述第一路由器具有通过所述IPSec隧道承载L2VPN业务的能力的标识与所述第二路由器具有通过所述IPSec隧道承载L2VPN业务的能力的标识一致。

结合第一方面及上述可能的实现方式中，在第三种可能的实现方式中，上述业务承载的方法还包括：若所述响应报文中未携带所述第二路由器具有通过所述IPSec隧道承载L2VPN业务的能力的标识，则所述第一路由器查找触发所述IPSec隧道协商的业务类型；

若触发所述IPSec隧道协商的业务为L2VPN业务，则所述第一路由器放弃所述IPSec隧道的协商；

若触发所述IPSec隧道协商的业务为L3VPN业务，则所述第一路由器向所述第二路由器发送第二ISAKMP报文，所述第二ISAKMP报文携带所述第一路由器的源互联网协议IP地址和目的IP地址，以使所述第一路由器和所述第二路由器协商承载L3VPN业务的IPSec隧道。

结合第一方面及上述可能的实现方式中，在第四种可能的实现方式中，所述第一路由器具有通过所述IPSec隧道承载L2VPN业务的能力的标识为二进制数。

结合第一方面及上述可能的实现方式中，在第五种可能的实现方式中，上述业务承载的方法还包括：若所述响应报文中未携带所述第二路由器具有通过所述IPSec隧道承载L2VPN业务的能力的标识，则所述IPSec隧道协商失败；